주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
는 우리가 어떻게 을 지원하는지에 대해 설명합니다.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=NDR-test-CLI

명령줄 인터페이스에서 NDR 감지 생성

테스트 감지를 생성하여 Sophos NDR가 올바르게 설정되고 작동하는지 확인할 수 있습니다.

테스트는 악의적이지 않습니다. 공격의 전형적인 특징으로 이벤트를 시뮬레이션하여 탐지를 트리거합니다. 이 이벤트는 클라이언트가 의심스러운 도메인 및 인증서 세부 정보가 있는 서버에서 파일을 다운로드하는 것입니다.

CLI(명령줄 인터페이스)에서 테스트를 실행할 수 있습니다.

요구 사항

Sophos NDR 테스트에서 NDR EICAR 클라이언트 파일을 다운로드합니다.

연결할 지역의 도메인 및 IP 주소에 대한 TCP 트래픽을 허용하도록 방화벽을 구성합니다.

도메인 이름 IP 주소 TCP 포트 AWS 리전
plrqkxqwvmtkm.xyz 13.56.99.184 2222 us-west-2(미국 오리건)
erqcmuydfkzzw.org 16.62.124.9 2222 EU-CENTRAL-2(취리히, 스위스)
lypwmxbnctosa.net 18.142.20.211 2222 ap-southeast-1(싱가포르)
xbmwsfgbphzvn.com 18.167.138.38 2222 AP-East-1(홍콩, 중국)
qwpoklsdvxbmy.com 177.71.144.35 2222 SA-EAST-1(São Paulo, 남아메리카)

현재 포트 미러링 설정에 네트워크 트래픽이 포함되었는지 확인합니다. 자세한 내용은 Sophos 통합 의 NDR 설정 페이지를 참조하십시오.

감지 생성

참고

Sophos NDR와 동일한 네트워크에 있는 디바이스에서 명령을 실행해야 합니다.

다음 예제에서는 Windows 명령 프롬프트를 사용하여 기본 옵션을 사용하여 검색을 생성하는 방법을 보여 줍니다.

  1. 관리자 권한으로 명령 프롬프트를 엽니다.

  2. 다음 명령을 입력합니다. NdrEicarClient.exe.

    명령 프롬프트에서 NDR 테스트를 수행합니다.

    참고

    기본 옵션을 사용하여 검색을 생성하면 클라이언트는 us-west-1 서버에 연결하여 파일 다운로드를 한 번 수행합니다.

    감지가 생성됩니다.

  3. Sophos Central에서 위협 분석 센터 > 통합으로 이동합니다.

  4. 검색 페이지의 NDR-DET-TEST-IDS-SCORE 목록에 이름이 지정된 최근 고위험 검색이 표시됩니다.

    감지 페이지.

  5. NDR-DET-TEST-IDS-SCORE 세부 정보를 열려면 클릭하십시오.

    설명은 **** 포트 2222에서 TCP 및 TLS를 통해 통신하는 원본 및 대상 IP를 보여 줍니다. 또한 탐지의 주요 원인으로 IDS(Intrusion Detection System)를 표시합니다. ID는 차단된 인증서 목록입니다.

    감지 세부 정보.

  6. Raw Data(원시 데이터 ) 탭을 클릭합니다. 요약에는 다음과 같은 세부 정보가 표시됩니다.

    • 비표준 포트에 알려진 프로토콜
    • 자체 서명 인증서 다운로드
    • 드문 응용 프로그램 계층 프로토콜 협상(ALPN)
    • 차단 목록 인증서
    • 알고리즘에 의해 서버 도메인이 생성될 가능성이 높음(DGA)
    • 친절한 카멜레온 가족에 속하는 위협의 징후.

    탐지 원시 데이터.

Eicar 테스트 명령줄 옵션

NdrEicarClient.exe 명령 다음에 다양한 명령줄 옵션을 입력할 수 있습니다.

다음은 몇 가지 명령줄 옵션입니다.

  • 를 입력하여 --help 사용 가능한 옵션을 표시합니다.
  • --region 연결하려는 지역 이름을 차례로 입력합니다.

  • --extra 감지 주위에 트래픽을 생성하려면 입력합니다.

    명령 출력에 추가 트래픽이 있는 NDR 테스트입니다.

    테스트 파일에는 트래픽을 생성하는 웹 크롤링 기능이 포함되어 있습니다. 기본적으로 웹 크롤러는 news.sophos.com 웹 사이트로 시작하여 *.sophos.com 거기에서 연결할 수 있는 모든 웹 페이지를 분석합니다. 방화벽 또는 웹 프록시에서 이를 허용하지 않는 경우 시작할 다른 웹 사이트를 지정할 수 있습니다. 웹 크롤러의 기본 실행 시간은 EICAR 트래픽 전 1분, 이후 30초입니다. --runtime CLI 옵션을 사용하여 이를 변경할 수 있습니다. 초단위로 제공하는 시간은 EICAR 트래픽 전에 실행되고 그 이후에는 절반 동안 실행됩니다.

    참고

    웹 페이지 사이에 일시 중지가 포함되었으므로 이 도구는 웹 사이트의 DoS(Denial-of-Service) 공격에 사용할 수 없습니다.

어플라이언스 관리자를 통해 NDR 검색을 생성하는 방법에 대한 자세한 내용은 검색 생성(NDR)을 참조하십시오.